一到他家他就眉飞色舞的告诉我他是怎样选择了一个物美价廉的ASP空间,为公司省了钱,速度还挺快……晕,不是叫我去听这个的吧?朋友赶紧把FTP帐号和密码给了我,叫我看看安全性能怎么样。
先Ping一下,219.149.XX.XX,返回是Request timed out,正常。拿出扫描器扫一下咯,发现只开了21,80。看来不错,漏洞方面补丁也补上了,用的是IIS5.0。用FTP试了一下,速度还不错,传个ASP木马上去,呵呵,没有被查杀——可惜不能执行程序!
又进了朋友刚装的动网后台瞧了瞧,看来是关掉了FSO权限。问朋友对空间的要求大概是什么,朋友说要装Jmail邮件发送程序,我告诉他不好用,他马上打了个电话给那个网名叫无级的空间商。
“喂,你们的空间怎么不支持FSO权限?”
“是啊,为了安全,现在黑客很多啊。”
“那我要装Jmail怎么办?不行你得给我开放权限,不然退钱给我。”
“要开放FSO的话再加200块钱啦,你知道,我们用的是硬件防火墙,服务器又要人维护,花费很高。”
“什么什么?你们开始的时候不是说功能全面的吗?”
……
下面是空间商的废话若干,反正就是不肯退钱的意思,朋友“咣”的一下挂掉电话,气呼呼的坐了下来。我说以后做什么事情还是要仔细一点,最好不要贪图便宜上了奸商的当。朋友开始抽郁闷烟,而我开始找那个服务器的漏洞。硬件防火墙?很嚣张吗?WHO怕WHO?
不填域名,直接在IE上填IP进去,竟然发现对方的广告页面哦,还是在吹嘘站点功能全面。上面还重点介绍了他们的江湖社区,进去一看,站长:无级。好啊,看来这是你老巢了,页面弄得相当华丽,还有些XX笑话在里面。聊天室里人很多,以自己以前玩江湖的经验来看,这个是世纪江湖的收费版本,很新,没发现什么漏洞。不过我们有FTP和基本的ASP权限,用不着费心思去找注入点了,用脚后跟想了一下,江湖不是用到FSO权限吗?况且他还用上了好多需要FSO支持的插件,难道不是一个服务器?再确认了一下IP,朋友的空间和这个奸商的空间是在一起的啊!
我登上了ASP木马页面,点击浏览C盘,没有权限,D、E……呵,E盘可以浏览!失败啊失败!很快发现奸商的网站文件夹,文件名居然是“老大”,下面是其它客户的文件夹。可惜不能修改又不能查看东西,气死我了,找找MDB文件,没有,难道用了MSSQL数据库?翻啊翻,终于找到了一个“象”数据库的东东。COPY到朋友的FTP空间里,下载成功,Yeah!
马上打开一看,乱七八糟的是什么啊?一个都不认识,看来是被加密了。试着用解密程序,可惜解出来的代码比没解密的还难懂,这时我脑子里的第一个想法就是——黑防的编辑们啊,把黑防实验室的网页解密攻略贴出来吧,不然象我这种网页解密菜鸟怎么过日子啊!
牢骚发过了,检测还是要继续,心情有些沮丧。再用ASP木马随便的COPY了对方一个页面过来,并下载到本地机器上查看,对方没有把全部的页面加密,不过看到这些不重要的页面代码又怎么样?我走马灯似的用鼠标滚轮上下翻看着代码。朋友给我拿来一罐饮料,问我怎么样了,我摇了摇头,天色已经不早,我也准备收工回家了。回头一看,鼠标正指着一行奇怪的代码“Set fso=CreateObject("Scripting.FileSystemObject1”原来如此啊!那个奸商一定是把注册表里原来的Scripting.FileSystemObject改成了现在我们看到的Scripting.FileSystemObject1,这样一来其他人不知道的人就不能使用了FSO了,而他自己只要修改了几条语句就可以正常使用,真是聪明的手段,不过现在我们也知道咯,真是自助者天助,我跟朋友说有门了,一边把我ASP木马页面里的Scripting.FileSystemObject全部改成了Scripting.FileSystemObject1。
打开FTP上传ASP后门,试了一下VER命令,好!成功了。
下一步就是提升权限了。把解释ASP脚本的C:\WINNT\System32\inetsrv\asp.dll这个ISAPI程序添加到/LM/W3SVCInProcessIsapiApps里面……后面就不细说了,不熟悉的回去看第7期的黑防吧,这里再写下去人家要嫌罗嗦了。最后,我控制了整个服务器,看了一下进程,里面居然是天网的防火墙,那个奸商还说什么硬件防火墙?切,鄙视他!我把键盘让给了朋友,跟他说给你处置,结果他一上来就是几个DEL。我说哥们,这可是你花钱买的空间呀,不料他回了一句道:“就当是花了点钱出口气,也比花了钱买罪受要好!” 我暴汗!
FSO(FileSystemObject)是微软ASP的一个对文件操作的控件,该控件可以对服务器进行读取、新建、修改、删除目录以及文件的操作。是ASP编程中非常有用的一个控件。但是因为权限控制的问题,很多虚拟主机服务器的FSO反而成为这台服务器的一个公开的后门,因为客户可以在自己的ASP网页里面直接就对该控件编程,从而控制该服务器。作为网管来说,除了文章中提到的修改FSO的名字外,还可以修改Clsid的值。
我们知道,除了CreateObject方法以外,也可以使用一般的
微博帐号登录